Ce bug de Firefox et Tor vous traquait en silence, même quand vous pensiez être invisible
La navigation privée et le réseau Tor sont souvent présentés comme les ultimes remparts contre le pistage en ligne. Des chercheurs viennent pourtant de mettre au jour une faille qui remettait cette promesse en question. Les utilisateurs les plus soucieux de leur anonymat étaient directement concernés.
La protection de la vie privée sur Internet reste un enjeu central pour les internautes. Le pistage ne repose plus seulement sur les cookies, mais aussi sur des techniques plus discrètes comme le fingerprinting. Cette méthode identifie un internaute en croisant des caractéristiques techniques de son appareil. Même des solutions comme les VPN peinent à protéger efficacement contre ces trackers publicitaires toujours plus sophistiqués.
Une nouvelle faille vient de rappeler à quel point ces mécanismes sont difficiles à contrer. Elle concerne le navigateur Firefox de Mozilla ainsi que Tor Browser, deux références en matière de vie privée. Alors que la fondation prépare justement une refonte graphique complète de son navigateur avec le projet Nova, cette découverte jette une ombre sur sa promesse d'anonymat. Les deux éditeurs ont rapidement déployé un correctif.
Firefox laissait les sites créer une empreinte unique sans aucun cookie
Selon le rapport publié par Penligent, la faille a été repérée par les chercheurs Dai Nguyen et Martin Bajanik, employés de la société Fingerprint. Elle permettait à n'importe quel site web de créer un identifiant unique et stable, sans recourir aux cookies. Les sites exploitaient le comportement d'IndexedDB, une base de données intégrée aux navigateurs. Cette base stocke des données structurées pour accélérer le fonctionnement des applications web. L'ordre dans lequel elle renvoyait les entrées stockées n'était pas aléatoire. Il reflétait en réalité le fonctionnement interne du navigateur et servait de signature unique. Ce comportement ouvrait la porte à un pistage silencieux, même pour les utilisateurs les plus prudents.
Le plus inquiétant reste la persistance de cet identifiant. Dans Firefox, il survivait à la fermeture de toutes les fenêtres privées tant que le processus du navigateur restait ouvert. Sur Tor Browser, il résistait même à la fonction « Nouvelle identité », censée effacer cookies, historique et circuits Tor.
Autrement dit, la promesse d'un anonymat total volait en éclats. Les chercheurs ont signalé le problème à Mozilla et au Tor Project, qui ont réagi rapidement. Le correctif est intégré à Firefox 150, à la version ESR 140.10.0 et à Tor Browser 15.0.10. Les utilisateurs doivent installer sans attendre la dernière mise à jour pour refermer cette brèche.
